Lücke ermöglichte Übernahme von GMX-Mailkonten

[Christoph]

Zitat:

Durch eine Sicherheitslücke konnten die Mailkonten von rund 1,7 Millionen Nutzern der E-Mail-Anbieter GMX und Web.de übernommen werden.

Wie WIRED.de herausfand, bestand bis 14. August eine massive Sicherheitslücke bei den E-Mail-Anbietern GMX, Web.de und 1&1, die allesamt zum Unternehmen United Internet gehören. Nutzer, die ihre Mails über einen mobilen Browser abriefen und dabei Cookies deaktiviert hatten, waren durch die Lücke gefährdet. Ihre Mailkonten konnten von Unbekannten vollständig übernommen werden, wenn sie auf einen speziellen Link in einer Mail klickten.

Durch den Klick wurde die Session-ID übermittelt, mit deren Hilfe sich die Mail-Absender als der Mail-Empfänger ausgeben und dessen Postfach komplett einsehen und manipulieren konnten. Die Übertragung der Session-ID wird normalerweise durch mehrere Sicherheitsmechanismen verhindert, bei GMX, Web.de und 1&1 wurde jedoch eine Lücke gefunden. Seit wann diese bestand, ist nicht bekannt.

WIRED.de hat die Lücke zwei Wochen lang untersucht, bevor sie United Internet am 11. August übermittelt wurde. Am 14. August stellte das Onlineportal fest, dass die Lücke geschlossen wurde. Seitdem werden Anmeldungen bei den genannten E-Mail-Portalen über Mobil-Browser nicht mehr erlaubt, wenn Cookies deaktiviert werden. Diese Praxis ist bei den meisten anderen Webmail-Anbietern bereits seit Langem gängig. Missbrauchsfälle, die aufgrund der Sicherheitslücke bei United Internet aufgetreten sein könnten, sind derzeit nicht bekannt.

Quelle: http://futurezone.at/digital-life/lu...en/147.660.079
http://www.golem.de/news/security-si...08-115826.html